Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
3 Страницы<123>
Ошибки с закрытым ключом в рабочем контейнере Рутокен на Astra Linux
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Вадим Ж  
#11 Оставлено : 7 июня 2024 г. 5:38:54(UTC)
Вадим Ж

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2024(UTC)
Сообщений: 9
Российская Федерация
Откуда: Нижний Новгород
Переустановил все от имени user, установилось без ошибок,
попробовал csptestf -absorb -certs получил:
user@astra:~$ /opt/cprocsp/bin/amd64/csptestf -keyset -container ххх -check
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
AcquireContext: OK. HCRYPTPROV: 6558643
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "ххх"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x6d1633
Symmetric key is not available.
UEC key is not available.
License: Cert without license
Crypto-Pro GOST R 34.10-2012 KC1 CSP запрашивает пин-код на носитель
Введите пин-код:
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 08.05.2025 06:27:43 (UTC)
Total: SYS: 0,030 sec USR: 0,090 sec UTC: 35,600 sec
[ErrorCode: 0x00000000]
=====
License: Cert without license - это почему? Проверка сертификата говорит, что цепочка проверена, ссылка на закрытый ключ есть. Но в графической части Крипто Про все по-прежнему. И почему-то операции с контейнерами и сертификатми начали занимать в разы больше времени.
ПС. "желательно вывод оформлять соответствующими тегами" - извините, не знаю, как и где, и что имееттся ввиду.
Вверх
Offline nickm  
#12 Оставлено : 7 июня 2024 г. 6:50:56(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,595

Сказал(а) «Спасибо»: 607 раз
Поблагодарили: 452 раз в 428 постах
Автор: Вадим Ж Перейти к цитате
License: Cert without license - это почему?

Такой вывод допускается, это означает, что сертификат без встроенной лицензии СКЗИ;

Автор: Вадим Ж Перейти к цитате
попробовал csptestf -absorb -certs получил:

Получили что?

Автор: Вадим Ж Перейти к цитате
Код:
$ /opt/cprocsp/bin/amd64/csptestf -keyset -container ххх -check

Контейнер вычитался без ошибок и в нём присутствует только пользовательский сертификат:
Код:
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 08.05.2025 06:27:43 (UTC)
Total: SYS: 0,030 sec USR: 0,090 sec UTC: 35,600 sec
[ErrorCode: 0x00000000]


Автор: Вадим Ж Перейти к цитате
И почему-то операции с контейнерами и сертификатами начали занимать в разы больше времени.

Возможно, что такое поведение говорит о том, что токен проблемный и возможно отсюда возникают проблемы при работе с ключом?

Попробуйте из консоли выполнить тестовое подписание, что-то типа такого (формируем откреплённую подпись файла test.pdf в домашней директории пользователя):
Код:
$ /opt/cprocsp/bin/amd64/cryptcp -sign -detached -thumbprint _здесь_отпечаток_пользовательского_сертификата_ ~/test.pdf ~/test.pdf.sig


, что будет в результате?

Ну и сделайте это: воспроизведите ошибку и покажите, что в этот момент происходит в системном журнале:

Автор: Русев Андрей Перейти к цитате
А что в системном журнале (journalctl) после неуспешного тестирования контейнера?
Вверх
Offline Вадим Ж  
#13 Оставлено : 7 июня 2024 г. 7:33:38(UTC)
Вадим Ж

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2024(UTC)
Сообщений: 9
Российская Федерация
Откуда: Нижний Новгород
У меня немного другая команда создания файла с подписью (делает программа "Пирамида" в режиме автоматического создания и подписания файла xml и отправки в АО АТС), из логов:
/opt/cprocsp/bin/amd64/cryptcp -signf /tmp/файл.tmp -uMy -thumbprint _отпечаток_ -dir /tmp/ -der -cert -nochain
запустил из терминала, потом с добавлением -pin _пин-код_контейнера_, все сработало без ошибок, файл создан, отсоединенная подпись тоже.
Почему же графическая часть Крипто Про ни разу не запросила пароль контейнера, только через терминал?
Копирование контейнера через графКриптоПро - отказ, КрПро ругается, возможно рутокен не дает. Пароль на контейнер как-то можно сохранить в хранилищах совместно с сертификатом?

в системе нашел такой файл /usr/share/bash-completion/completions/journalctl. Не уверен, это то что нужно?
Вверх
Offline nickm  
#14 Оставлено : 7 июня 2024 г. 7:40:50(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,595

Сказал(а) «Спасибо»: 607 раз
Поблагодарили: 452 раз в 428 постах
Автор: Вадим Ж Перейти к цитате
Почему же графическая часть Крипто Про ни разу не запросила пароль контейнера, только через терминал?

Хех, ну так установите пакет:
Код:
cprocsp-rdr-gui-gtk-*

, он же:
Код:
cprocsp-rdr-gui-gtk-64_5.0.13000-7_amd64.deb


Выше же Вам предлагался один из вариантов решения:

Автор: nickm Перейти к цитате
Вы каким образом/ какой командой устанавливали СКЗИ?

У Вас установлены не все ридеры.

Есть два варианта:
  1. Если используется GUI, то удалить и установить СКЗИ в графическом режиме с такими параметрами, например:

    UserPostedImage
    UserPostedImage


Проверить работу.


Поэтому повторю вопрос:
Автор: nickm Перейти к цитате
Вы каким образом/ какой командой устанавливали СКЗИ?


, возможно, что скопировали консольные команды из какой-нибудь, устаревшей WiKi-статьи.

Отредактировано пользователем 7 июня 2024 г. 8:58:01(UTC)  | Причина: Не указана
Вверх
Offline Вадим Ж  
#15 Оставлено : 7 июня 2024 г. 9:02:52(UTC)
Вадим Ж

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2024(UTC)
Сообщений: 9
Российская Федерация
Откуда: Нижний Новгород
Вау! Ура! Получилось!

Хех, ну так установите пакет:
Код:
cprocsp-rdr-gui-gtk-*

ПОМОГЛО! Появилось окно сохранения пароля контейнера, тестирование контейнера прошло успешно, подписание файла тоже. И в спец. программе формирования/отправки файлов тоже.
ПС. При этом установку КрПро делал именно так, как советовали, через ./linux-amd64_deb/install_gui.sh с теми параметрами, как в руководстве и как у вас на картинках, и этого пакета, видимо, не было установлено.

ВСЕМ СПАСИБО ОГРОМНОЕ!
Вверх
Offline Вадим Ж  
#16 Оставлено : 7 июня 2024 г. 10:31:07(UTC)
Вадим Ж

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2024(UTC)
Сообщений: 9
Российская Федерация
Откуда: Нижний Новгород
Напоследок устранил задержки, возникающие при тестировании контейнера и сертификата (до 10 секунд).
Они вносились пакетом cprocsp-rdr-cryptoki-64_5.0.13000-7_amd64.deb, который, кроме рутокен-лайт, видимо, еще пытался что-то читать.
Удалил, теперь все получается быстро (это важно для автоматического подписания и шифрования с помощью чужого скрипта).
Вверх
Offline Незнайка  
#17 Оставлено : 26 ноября 2024 г. 11:16:50(UTC)
Незнайка

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.11.2024(UTC)
Сообщений: 6
Российская Федерация
Всем доброго!
Может не в ту тему, но эта более чем подходит.
Сама проблема: не считывается токен, хотя он установлен.
Что имеем:Astra Linux SE уровень защищенности: максимальный, обновление: 1.7.5.16, Архитектура: х86, 64-разряда, Ядро: 6.1.50-1-generic, графическая платформа Х11.
Установлен СУДИС 3.1.0
$ dpkg -l | grep -i cprocsp выдает:
ii cprocsp-cptools-gtk-64 5.0.13000-7 amd64 CryptoPro GUI application for various CSP tasks. Build 13000.
ii cprocsp-curl-64 5.0.13000-7 amd64 CryptoPro cURL shared library and application. Build 13000.
ii cprocsp-pki-cades-64 2.0.15000-1 amd64 CryptoPro ECP SDK
ii cprocsp-pki-plugin-64 2.0.15000-1 amd64 CryptoPro ECP Browser plug-in
ii cprocsp-rdr-cloud-64 5.0.13000-7 amd64 DSS keys support module
ii cprocsp-rdr-cpfkc-64 5.0.13000-7 amd64 FKC support module
ii cprocsp-rdr-cryptoki-64 5.0.13000-7 amd64 Module for PKCS11 keys support. Build 13000.
ii cprocsp-rdr-edoc-64 5.0.13000-7 amd64 Electronic documents support module
ii cprocsp-rdr-emv-64 5.0.13000-7 amd64 EMV/Gemalto support module
ii cprocsp-rdr-gui-gtk-64 5.0.13000-7 amd64 CryptoPro CSP GTK GUI components. Build 13000.
ii cprocsp-rdr-infocrypt-64 5.0.13000-7 amd64 Infocrypt FKC support module
ii cprocsp-rdr-inpaspot-64 5.0.13000-7 amd64 Inpaspot support module
ii cprocsp-rdr-jacarta-64 5.0.13000-7 amd64 JaCarta support module
ii cprocsp-rdr-kst-64 5.0.13000-7 amd64 MorphoKST support module
ii cprocsp-rdr-mskey-64 5.0.13000-7 amd64 Mskey support module
ii cprocsp-rdr-novacard-64 5.0.13000-7 amd64 Novacard support module
ii cprocsp-rdr-pcsc-64 5.0.13000-7 amd64 CryptoPro CSP. PC/SC devices support. Build 13000.
ii cprocsp-rdr-rosan-64 5.0.13000-7 amd64 Rosan support module
ii cprocsp-rdr-rustoken-64 5.0.13000-7 amd64 CryptoPro RUSToken support module
ii cprocsp-rdr-rutoken-64 5.0.13000-7 amd64 Rutoken support module
ii cprocsp-stunnel-64 5.0.13000-7 amd64 CryptoPro Universal SSL/TLS tunnel. Build 13000.
ii lsb-cprocsp-base 5.0.13000-7 all CryptoPro CSP directories and scripts. Build 13000.
ii lsb-cprocsp-ca-certs 5.0.13000-7 all CryptoPro CA certificates. Build 13000.
ii lsb-cprocsp-capilite-64 5.0.13000-7 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 13000.
ii lsb-cprocsp-import-ca-certs 5.0.13000-7 all Import OS root certificates into CryptoPro CSP trusted root store. Build 13000.
ii lsb-cprocsp-kc1-64 5.0.13000-7 amd64 CryptoPro CSP KC1. Build 13000.
ii lsb-cprocsp-kc2-64 5.0.13000-7 amd64 CryptoPro CSP KC2. Build 13000.
ii lsb-cprocsp-pkcs11-64 5.0.13000-7 amd64 CryptoPro PKCS11. Build 13000.
ii lsb-cprocsp-rdr-64 5.0.13000-7 amd64 CryptoPro CSP common libraries and utilities. Build 13000.

$ /opt/cprocsp/bin/amd64/csptest -card -enum -v -v :
Aktiv Co. Rutoken S 00 00
Card present, ATR=3B 6F 00 FF 00 56 72 75 54 6F 6B 6E 73 30 20 00 00 90 00
Unknown applet
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,600 sec
[ErrorCode: 0x00000000]

$ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS -flags 32
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
CryptAcquireContext succeeded.HCRYPTPROV: 12836835
GetProvParam(...PP_ENUMREADERS...) until it returns false
Flags: 0x20
Len Byte NickName/Name/Media
___________________________________
0x012a 0x03 0876-0918
Диск
FLASH_08760918
0x012a 0x00 HDIMAGE
HDD key storage
NO_UNIQUE
0x012a 0x02 CLOUD
Облачный токен
NO_MEDIA
0x012a 0x03 Aktiv Co. Rutoken S 00 00
Rutoken S
rutoken_32ca5f32
Cycle exit when getting data. 4 items found. Level completed without problems.
Total: SYS: 0,000 sec USR: 0,070 sec UTC: 0,810 sec
[ErrorCode: 0x00000000]

$ /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
AcquireContext: OK. HCRYPTPROV: 19239683
M.......v_206114333 |SCARD\rutoken_32ca5f32\0C00\0106
OK.
Total: SYS: 0,000 sec USR: 0,060 sec UTC: 1,380 sec
[ErrorCode: 0x00000000]

$ pcsc_scan
Using reader plug'n play mechanism
Scanning present readers...
0: Aktiv Co. Rutoken S 00 00

Tue Nov 26 10:52:14 2024
Reader 0: Aktiv Co. Rutoken S 00 00
Event number: 0
Card state: Card inserted,
ATR: 3B 6F 00 FF 00 56 72 75 54 6F 6B 6E 73 30 20 00 00 90 00

ATR: 3B 6F 00 FF 00 56 72 75 54 6F 6B 6E 73 30 20 00 00 90 00
+ TS = 3B --> Direct Convention
+ T0 = 6F, Y(1): 0110, K: 15 (historical bytes)
TB(1) = 00 --> VPP is not electrically connected
TC(1) = FF --> Extra guard time: 255 (special value)
+ Historical bytes: 00 56 72 75 54 6F 6B 6E 73 30 20 00 00 90 00
Category indicator byte: 00 (compact TLV data object)
Tag: 5, len: 6 (card issuer's data)
Card issuer data: 72 75 54 6F 6B 6E
Tag: 7, len: 3 (card capabilities)
Selection methods: 30
- DF selection by path
- DF selection by file identifier
Data coding byte: 20
- Behaviour of write functions: proprietary
- Value 'FF' for the first byte of BER-TLV tag fields: invalid
- Data unit in quartets: 1
Command chaining, length fields and logical channels: 00
- Logical channel number assignment: No logical channel
- Maximum number of logical channels: 1
Mandatory status indicator (3 last bytes)
LCS (life card cycle): 00 (No information given)
SW: 9000 (Normal processing.)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
3B 6F 00 FF 00 56 72 75 54 6F 6B 6E 73 30 20 00 00 90 00
Aktiv Rutoken S
https://www.rutoken.ru/products/all/rutoken-s/

а вот эта команда $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
Available slots:
No slots.
Уже мозг сломал с подключением токена и входу в систему по токену
Вверх
Offline nickm  
#18 Оставлено : 26 ноября 2024 г. 11:27:36(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,595

Сказал(а) «Спасибо»: 607 раз
Поблагодарили: 452 раз в 428 постах
Автор: Незнайка Перейти к цитате
Код:
ii  lsb-cprocsp-kc1-64           5.0.13000-7  amd64        CryptoPro CSP KC1. Build 13000.
ii  lsb-cprocsp-kc2-64           5.0.13000-7  amd64        CryptoPro CSP KC2. Build 13000.

Определитесь с версией КС и установите нужную. Если не знаете, что это такое, то устанавливайте только КС1;

Автор: Незнайка Перейти к цитате
Уже мозг сломал с подключением токена и входу в систему по токену

Сначала настройте СКЗИ, выполните проверки работы ключа в системе, после уже со входом по токену будете разбираться.

Отредактировано пользователем 26 ноября 2024 г. 11:28:11(UTC)  | Причина: Не указана
Вверх
Online Русев Андрей  
#19 Оставлено : 26 ноября 2024 г. 11:56:22(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
Автор: Незнайка Перейти к цитате
а вот эта команда $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
Available slots:
No slots.
Уже мозг сломал с подключением токена и входу в систему по токену
Это явно не для этой темы. Наш провайдер тут не участвует. Через библиотеку librtpkcs11ecp.so к Рутокен S вам доступ, наверняка, не получить. Но уточняйте это на форуме Актива. Отмечу, что у нас разработан экспериментальный pam-модуль, который позволит авторизоваться в системе по любым ключам КриптоПро CSP, в том числе по Рутокен S. Будет в пакете cprocsp-pam-cryptopro в ближайшем релизе. Можем передать на тестирование.

Официальная техподдержка. Официальная база знаний.
Вверх
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
nickm оставлено 26.11.2024(UTC)
Offline Незнайка  
#20 Оставлено : 26 ноября 2024 г. 12:07:34(UTC)
Незнайка

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.11.2024(UTC)
Сообщений: 6
Российская Федерация
Автор: Незнайка Перейти к цитате
iilsb-cprocsp-kc2-64 5.0.13000-7amd64CryptoPro CSP KC2. Build 13000.

Изначально требуется кс2, пробывал только с ним, тоже самое, астру уже 4 раза сносил, настройку делал крипты и токена, сначала вообще крипта не видела токен, решилось доустановкой драйверов рутокена и усб драйверов. теперь считывает контейнер и сертификат, сертификат ставит в систему, но не работает.
Снес крипту и поставил как требовалось изначально
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET